FAQ

Terug naar overzicht
Privacyprofessional

De settings van een applicatie zijn verkeerd, heb ik nu een datalek?

Datalek

Toelichting

Zodra er iets mis lijkt te zijn rondom persoonsgegevens, zijn we al snel geneigd te denken dat er sprake is van een datalek. Maar dat is lang niet altijd het geval. Om goed antwoord te geven op de vraag of er een datalek is, moeten we het verschil tussen een datalek, incident en kwetsbaarheid kennen.We zetten de definities op een rijtje:

Kwetsbaarheid

Een potentiële aantasting van de BIV van gegevens. Je kunt zo'n aantasting die nog niet is opgetreden maar dat wel elk moment kan doen, ook als incident beschouwen.

Datalek

Er is ongeoorloofd of onbedoeld toegang tot persoonsgegevens geweest bij een organisatie, of persoonsgegevens zijn onbedoeld vernietigd, verloren gegaan, gewijzigd of tijdelijk niet beschikbaar.

(Security)incident

Alle incidenten die een ongeplande (potentiële) aantasting van de Beschikbaarheid, Integriteit of Vertrouwelijkheid (BIV) van informatiesystemen tot gevolg kunnen hebben, maar die de levensvatbaarheid van de hele organisatie niet in gevaar brengt. Een aantasting die nog niet is opgetreden maar dat elk moment wel kan doen, wordt ook beschouwd als een incident.

Antwoord

Als je instellingen niet correct staan is er dus hoogstwaarschijnlijk geen sprake van een datalek. Dit valt onder ‘kwetsbaarheid’. En een kwetsbaarheid is geen datalek in de zin van artikel 4, lid 12 van de AVG.

Kwetsbaarheid versus datalek

Dat je de gevolgen 'niet kan uitsluiten', maakt een incident nog geen datalek. Alleen als je duidelijke aanwijzingen hebt dat de kwetsbaarheid ook echt gevolgen heeft voor de aantasting van beschikbaarheid, integriteit of vertrouwelijkheid (zie artikel 4, lid 12 AVG), dan is er sprake van een datalek. Als een datalek waarschijnlijk een risico oplevert voor 'de rechten en vrijheden van betrokkenen, meld je het datalek bij de Autoriteit Persoonsgegevens. Is er waarschijnlijk geen risico, dan kun je volstaan met het registreren van het datalek in je administratie.

Let op, als er sprake is van een kwetsbaarheid waarbij je het niet zeker weet of er een inbreuk is geweest (forensisch onderzoek geeft geen uitsluitsel), maar het is wel waarschijnlijk, dan kan het soms zo zijn dat de siuatie toch onder de meldplicht valt. Dat hangt af van de context. Gaat het om een situatie met veel en/of gevoelige persoonsgegevens, overleg dan met de privacyspecialist van de organisatie en/of betrek de Functionaris voor Gegevensbescherming.

Gerelateerd
Privacyprofessional

Wat is schaduw-IT?

Allerlei (technisch/organisatorisch)
Overige vragen

Schaduw-IT (ook wel 'shadow IT') gaat over applicaties die niet door de organisatie worden beheerd of aangeboden. Hoe gebruik je dit veilig?

Lees meer